是什麼讓貴公司成為 APT 目標攻擊覬覦的對象?

在2014年,嚴重的資料外洩事件成為新聞版面的常態。不幸的是,這跟趨勢科技在2013年第四季所做出的主要威脅預測是一致的。政府、零售業、金融業、醫療保健甚至是醫療器材廠商都一直在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的標靶上。

企業被網路犯罪份子和其同夥所入侵的次數,跟這些駭客被繩之以法的機率比起來是完全不成比例的。這到底是為什麼呢?這世界對於網路犯罪分子和國家來說的確是平的。

如同我們頂尖的威脅研究員最愛說的一句話,「封包不用護照」。這讓防禦和最終將網路犯罪份子繩之於法都變得更加困難。在網路上找線索就像是終極版的CSI犯罪現場。

APT

身為IT和安全專家,趨勢科技竭盡所能地對抗些企圖打爆基礎設施的惡意軟體,和精心設計來竊取敏感資料的攻擊行為,盡力地想打場好仗。不過到最後,真正重要的還是資料,並且確保我們有依照業務需求將資料作適當的分類。

接著,我們必須在強制性法規,像支付卡產業(PCI)之外部署具成本效益的基礎設施和安全協定,以合乎我們對自己所要求的資料安全標準。如果沒有適當的資料分類,組織要麼必須將一切都當成最高機密來防護,而這並不切實際。不然就是得對一切都做一般性的防護,這當然也並不可取,因為會讓你的組織增加危險。

不幸的是,許多組織都選擇後者。在趨勢科技最新的威脅綜合報告裡,我們分析網路犯罪份子是如何利用數位資料賺錢,還有他們利用什麼方式來攻陷他們的目標。最終,關鍵是替你的組織設計出有意義的風險模型。當討論到風險管理時,我常常會用「風險平衡」這名詞。因為說到資料安全,我們就必須在如何平衡投資和資料資產受損風險間作出決定。

隨著物聯網 (IoT,Internet of Thing )的出現,連網設備數量有著前所未有的爆炸性成長。我們以迅速的腳步前進,讓IT轉型到虛擬化和雲端運算,行動性和巨量資料上。當分析企業架構的各方面時,常常會忽略掉資料安全。這可能是因為預算問題、時間問題,或缺乏對能夠協助你IT專案的工具或能力的瞭解。Zachman的企業架構框架將資料當成企業架構的首要支柱。許多組織都認知到這是他們策略的重要部分,並將資料防護放入他們策略作法的最上層。

Gartner最近報導了全球資料長(CDO)數量的增加。這些職位在成長,而且也變得極為重要,就跟資訊長或資安長同等地位。就跟Gartner一樣,我相信在這些高層IT/安全主管間資料需求和流程的協同合作是最重要的。

資安長在很多方面和過去的風險長(CRO)一樣。將會和資料長合作去量化和衡量網路風險,負責保護資料和設定正確的等級,投資在人、流程和技術上,以協助組織需求。三者要努力確保執行長和董事會對於目標攻擊的風險和對組織的影響有足夠的情報。這將有助於量化為什麼投資必須進行以平衡風險。

總而言之,每間企業都有所不同。當遭受到APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊時,不同組織所感受到的疼痛也不一同。但相同的是,被入侵還是會受到傷害。

在過去十年來,IT和安全專家一直在設計、部署和測試災難復原計劃。像目標攻擊、分散式阻斷服務(DDOS)、攻擊活動或其他會影響業務的事件等等網路災難,都可以在今日複雜的目標攻擊裡預期的到。尋找安全機構來協助你的安全運作設計風險平衡。

每間企業對於自己的需求和資料處理都有獨特的角度,他們會希望有機構能夠協助促進技術的實行和採用,以支援客製化的需求。作為一個威脅防禦專家,不僅代表你有多年的經驗在分析最新威脅和攻擊上,也代表你在實作安全解決方案來保護業務運作時,可以深切瞭解業務需求。現在就透過與威脅防禦專家合作,來取得對APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的頻率和複雜性有更通透的瞭解。

 

@原文出處:What Makes You a Tasty Target? 作者:JD Sherry(技術和解決方案)

台灣第一個APT白皮書開放下載